Den Registrierungsdienst für Netzwerkgeräte (NDES) für den Betrieb mit einem Domänenkonto konfigurieren

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) ist, da sie das Web-basierte Simple Certificate Enrollment Protocol (SCEP) implementiert, als Webanwendung im Microsoft Internet Information Service (IIS) abgebildet. Hier läuft der Dienst in einem Anwendungspool namens "SCEP". In vielen Fällen ist es ausreichend, für diesen die integrierte Anwendungspool-Identität zu verwenden.

Es gibt jedoch Fälle, in denen man ein Domänenkonto verwenden möchte. Ein Beispiel hierfür ist der Certificate Connector für Microsoft Intune, welcher dies zwingend voraussetzt.

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Die Konfiguration von NDES mit einem Domänenkonto erfordert folgende Schritte:

  • Dienstprinzipalnamen (engl. Service Principal Name, SPN) registrieren für Kerberos Authentisierung.
  • "Enroll" Berechtigung für das Domänenkonto auf die NDES-Gerätevorlage setzen.
  • "Read" Berechtigungen auf private Schlüssel der Registration Authority Zertifikate (Hinweis: Dies ist auch per Voreinstellung der Zertifikatvorlage möglich. Vollzugriff ist nicht notwendig.)
  • Mitgliedschaft in der lokalen IIS_IUSRS Gruppe auf dem NDES-Server für das Domänenkonto konfigurieren.
  • Impersonate a Client after Authentication (SeImpersonatePrivilege, in der Standardeinstellung durch Mitgliedschaft in IIS_IUSRS gegeben) auf dem NDES-Server für das Domänenkonto konfigurieren.
  • Log on as a Batch Job (SeBatchLogonRight, in der Standardeinstellung durch Mitgliedschaft in IIS_IUSRS gegeben) auf dem NDES-Server für das Domänenkonto konfigurieren.
  • Eintragen des Domänenkontos als Identität des "SCEP" Anwendungspools.

Details: Dienstprinzipalnamen registrieren

setspn -s http/{DNS-Name-NDES-Server} {Domainname}\{Name-NDES-Dienstkonto}

Details: Eintragen der Identität des Anwendungspools

Weiterführende Links:

Externe Quellen

de_DEDeutsch